Это может быть необычный вопрос, но я хотел бы узнать, возможно ли это.
У нас есть несколько зон безопасности за межсетевым экраном, назовем их LAN, DMZ и Backend.
В зоне DMZ есть DNS-сервер (привязка, имя сервера ns1.domain.com), установленный как разделенный DNS. он разрешает общедоступные адреса domain.com в запрос, сделанный из Интернета, и частные адреса с NAT для того же домена domain.com в запросы, поступающие из LAN и Backend.
Все работает нормально, однако теперь я ввожу Windows 2008 AD в Backend, поскольку серверная база растет, и управление базами данных SAM больше не является вариантом. Имя домена Windows - DOMAIN.COM. Я понимаю, что это может сбивать с толку настройку, но это сделано чтобы упростить работу с отделом именования.
Естественно, это требует использования Windows DNS, который находится на том же сервере AD.DOMAIN.COM.
Зоны DNS на этом сервере работают нормально, и я настроил сервер пересылки для ns1.domain.com для любых запросов, связанных с Интернетом.
Теперь вопрос. Если я хочу разрешить хост, расположенный в подсети DMZ с NAT, от хоста Windows в Backend (то есть использовать внутреннюю часть DMZ с разделенным мозгом), как мне убедиться, что запросы для Any_is_not_in_windows_domain.com_zone ".domain.com перенаправляются на внутренняя DMZ с разделенным мозгом? Возможно ли это вообще? Я понимаю, что могу жестко закодировать их в зону DNS-сервера Windows, но это похоже на обходной путь, а не решение ...
Надеюсь, я был достаточно ясен :)
Я не думаю, что это возможно, AD.DOMAIN.COM считает, что является авторитетным источником для этого домена и будет отвечать NXDOMAIN, несмотря ни на что.
Я бы действительно посоветовал вам создать поддомен для размещения вашей AD. По мере роста вашей настройки это станет более серьезной проблемой, и ручное добавление хостов в обе зоны не кажется хорошей задачей.
Можно было бы запустить Active Directory с DNS-сервером BIND.
Что вы можете сделать, так это объединить зоны и разрешить обновления с сервера AD.DOMAIN.COM.
Однако для этого требуется, чтобы зона DOMAIN.COM была динамической зоной.
Я не думаю, что это возможно. Внутренний DNS-сервер Windows является авторитетным для domain.com и, следовательно, не будет перенаправлять запросы для domain.com на другой DNS-сервер. Я думаю, ваш единственный выбор - добавить статические записи для машин DMZ во внутреннюю зону domain.com.